以MSP合作伙伴身份设置并配置托管公司
配置终端防护并部署安全代理
本节将指导您完成在托管公司的 终端 上部署安全代理的步骤,并通过创建自定义安装包为每个终端定制防护级别。
根据您的需求和当前网络配置, BEST 可通过多种方式部署。
要在托管公司网络部署终端,您需要准备安装包并通过电子邮件发送给用户,由用户在各终端本地进行部署。
请参考 安装 页面获取深度自定义选项。
重要提示
开始安装前,请检查???中列出的先决条件。
-
登录 GravityZone 控制中心 .
-
从左侧菜单进入 安装包 页面。
-
点击屏幕右上角的 创建 按钮。
-
输入新安装包的 名称 和 描述 。
-
向下滚动至 模块 部分,选择您要在托管公司终端部署的模块。
您可以通过访问 公司 ,点击公司名称并进入 许可 选项卡查看其分配的产品。
您可以通过此 功能矩阵 .
-
向下滚动至 附加设置 部分,确保 移除竞争对手 选项未勾选。
-
点击 保存 .
-
从软件包列表中选择新创建的软件包并点击 发送下载链接 .
-
输入收件人邮箱地址并点击 发送 .
要在托管公司网络中部署终端,首先需创建并安装一个启用 中继 角色的安装包。需由目标公司人员在静态终端下载并安装该代理程序。
完成后,即可通过中继发现本地网络终端,并使用安装任务部署BEST。
详见 安装指南 页面获取深度自定义选项。
重要提示
开始安装前请检查???中列出的先决条件。
安装 BEST 的步骤如下:
-
登录您的 GravityZone 控制台(使用合作伙伴账户)。
-
前往 安装包 页面,在左侧菜单中选择 网络 。
-
点击表格顶部的 创建 按钮。
-
填写 常规 选项卡下的信息:
-
向下滚动至 模块 部分,选择您要在托管公司终端部署的模块。
您可以通过访问 公司 页面,点击公司名称并进入 许可 选项卡查看其分配的产品。
您可以使用此 功能矩阵 .
-
向下滚动至 其他设置 部分,确保 移除竞争对手 选项未勾选。
-
在 角色 部分,确保启用 中继 设置。
-
可选:您可以进一步自定义安装包。 了解更多
-
向下滚动并点击 保存 按钮。
-
从包列表中选择新创建的包并点击 发送下载链接 .
-
输入将部署安全代理的用户的电子邮件地址,该代理需在公司网络中的端点上启用 中继 角色,然后点击 发送 .
注意
只需在一个端点上部署中继,即可在网络中所有其他端点上部署安全代理。
-
创建新的安装包时不启用 中继 设置(步骤3至8)。
-
转到 网络 页面(通过左侧菜单),在页面右侧导航至 公司 文件夹并选择它。
-
勾选目标公司的复选框,点击 任务 点击屏幕上方的 运行网络发现 .
有关执行此任务的更多信息,请参阅 使用操作 和 网络发现工作原理 .
公司网络上的所有端点现在都显示在 网络 页面中。
-
点击公司名称并定位要部署BEST的端点。更多信息请参阅 查看端点详情 .
-
勾选需要安装代理的端点复选框。
-
点击 任务 按钮(位于屏幕上方)并选择 安装代理 .
-
自定义安装后点击 保存 。更多信息请参阅 运行远程安装任务 .
将出现确认消息。
注意
您可以在 网络 > 任务 页面。
为托管公司创建终端标签
注意
若要在托管公司上使用终端标签,需为自身启用ATS附加组件。
-
登录 GravityZone 控制中心 .
-
从左侧菜单进入 网络 页面。
-
点击页面右侧 公司 文件夹(位于 名称 列下方)。
-
点击目标公司名称。
-
选择目标终端。可选择单个或多个终端、终端组或公司。更多信息请参阅 查看终端详情 .
-
点击操作工具栏中的 标签 按钮并选择 分配标签 .
或右键点击所选目标,选择 标签 > 分配标签 从上下文菜单中选择。
-
使用 + 创建标签 选项为您希望分配策略的目标公司管理的所有终端创建新标签。
-
勾选新创建标签旁边的复选框。
-
点击 分配 .
控制台右下角的通知会显示分配进程状态。
刷新 网络 网格以查看变更。
有关终端标签操作的更多信息,请参阅 使用终端标签 .
为托管公司配置策略
上述流程使用了默认的 GravityZone 策略,该策略会在部署 BEST 代理时自动应用于终端。
某些功能需要在应用于终端的策略中激活。若未激活,终端上将无法使用该功能。
建议为您负责安全的每个公司创建独立策略。
创建新策略并将其应用于该公司的所有终端。您还可以为同一公司创建应用于特定终端的附加策略。
为托管公司创建策略
管理子公司策略有两种方式:
-
为每个公司创建独立策略。通过这种方式,您可以高度精细化地定制每家公司的安全配置。
提示
此方法适用于管理少量公司的情况。
-
创建少量策略来覆盖您管理的主要公司类型需求。随后可将这些策略应用于公司群组,必要时可复制并针对特定案例进行定制。
提示
此方法最适合管理大量公司时使用。
-
登录 GravityZone 控制中心 .
-
通过左侧菜单进入 策略 页面。
-
点击表格上方的
添加
按钮,这将基于默认策略模板创建新策略。
-
在 常规 页面中, 技术支持信息 部分填写您公司的联系方式,以便客户需要协助时可联系您。
-
配置其余策略设置。详细信息请参阅 策略设置 .
重要提示
确保启用订阅包含的所有功能。更多信息请参阅???。
-
点击 保存 以创建策略并返回策略列表。
包含无效数据的策略无法保存。尝试保存时,屏幕右下角会显示具体错误信息,指出问题所在部分。目前错误信息仅覆盖 沙盒分析器 > 终端传感器 及 完整性监控 > 实时 部分。
为托管公司分配策略
您可以通过以下任一方式为托管公司分配策略:
提示
编辑策略时,您可以启用 允许其他用户修改此策略 选项(位于 常规 > 策略详情 下),以确保策略的可访问性。这将避免因策略创建者离职而失去访问权限。
-
登录 GravityZone 控制中心 .
-
通过左侧菜单进入 网络 页面。
-
点击页面右侧 公司 文件夹(位于 名称 列下方)。
-
点击目标公司名称。
-
选择目标终端。您可以选择单个或多个终端、终端组或公司。更多信息请参阅 查看终端详情 .
-
点击
分配策略
按钮(位于表格上方),或从上下文菜单中选择
分配策略
选项。
随后 策略分配 页面将显示:
-
检查目标端点表格,可查看每个端点的以下信息:
-
已分配的策略。
-
继承策略的父级群组(若适用)。
若群组正在强制执行策略,可点击其名称查看以该群组为目标的 策略分配 页面。
-
强制执行状态。
此状态显示目标是强制策略继承还是被强制继承策略。
注意标记为强制策略的目标( 被强制 状态),其策略不可替换。此时系统会显示警告信息。
-
-
若出现警告,点击 排除这些目标 链接继续操作。
-
选择 分配以下策略模板 选项。
注意
也可使用 从上级继承 功能,通过端点群组分配策略。更多信息请参阅 分配设备策略
-
从下拉列表中选择策略。
-
可选:勾选 强制子组继承策略 以实现以下效果:
-
将策略分配给目标组的所有后代,无例外。
-
防止在层级较低处从其他位置更改该策略。
新表格将递归显示所有受影响的端点和端点组,以及将被替换的策略。
-
-
点击 完成 保存并应用更改。
-
登录 GravityZone 控制中心 .
-
通过左侧菜单进入 分配规则 页面。
-
点击表格上方的
添加
按钮。
-
输入描述性名称和说明。
-
设置规则的优先级。
规则按优先级排序,第一条规则优先级最高。例如,优先级1高于优先级2。同一优先级不可重复设置。
-
选择要为其创建标签规则的策略。
-
在 标签 网格中,添加为此特定公司创建的标签。
-
点击 保存 以创建规则。
注意
有关创建端点标签并将其分配给端点的更多详情,请参阅 使用端点标签 .
提示
您也可以通过用户规则、位置规则或集成规则来分配策略。更多信息请参考 分配本地策略 .
要使某项功能在端点上正常运行,可能需要满足多个条件。请查看下表以确保特定功能已在您的端点上启用。
各列显示以下信息:
-
功能 - 功能名称。
-
策略激活状态 – 指示您可前往何处检查该功能是否已在任意策略中激活。
提示
要查看特定端点应用了何种策略,您可前往 网络 页面(通过左侧菜单),显示端点详细信息,并在 策略 选项卡中查看相关信息。
您可以运行 策略合规性 报告,查看所选端点列表上部署了哪些策略。
-
需部署在端点上的模块 – 该列说明该功能是否需要部署特定模块才能正常运行。
-
月度订阅用户的许可要求 – 指示该功能是包含在核心保护中,还是需要为公司启用额外的附加组件或服务。
-
额外依赖项 ——包含上述类别未涵盖的其他要求。
|
功能 |
策略激活 |
需在终端部署的模块 |
月度订阅用户的许可要求 |
额外依赖项 |
|---|---|---|---|---|
|
您可以从 反恶意软件 > 实时防护 > 实时扫描 设置中启用该功能。 |
反恶意软件 |
包含在核心防护中。 |
该功能提供更多可通过 反恶意软件 > 设置 页面中应用于终端的策略启用的功能。 |
|
|
您可以从 反恶意软件 > 高级反漏洞利用 > 高级反漏洞利用 设置中启用该功能。 |
高级反漏洞利用 |
包含在核心防护中。 |
该功能提供更多可通过 反恶意软件 > 设置 页面在应用于端点的策略中启用的功能。 |
|
|
您可以从 反恶意软件 > 执行时 > 高级威胁控制 设置中启用该功能。 |
高级威胁控制 |
包含在核心防护中。 |
该功能提供更多可通过 反恶意软件 > 设置 页面在应用于端点的策略中启用的功能。 |
|
|
您可以从 事件传感器 > 事件传感器 设置中启用该功能。 |
终端检测与响应传感器 |
需启用 终端检测与响应 需启用公司自用附加组件。 |
不适用 |
|
|
无文件攻击防护 |
您可通过以下路径启用该功能: 反恶意软件 > 执行时扫描 > 无文件攻击防护 设置。 |
反恶意软件 |
需启用 高级威胁防护 公司自用附加组件。 |
该功能提供额外可配置项,可在应用于终端的策略中通过以下设置启用:
|
|
您可以通过 防火墙 > 防火墙 设置启用该功能。 注意若使用在Windows服务器防火墙功能发布前创建的安装包,在应用策略中激活该功能将不会对终端生效。 |
防火墙 |
包含在核心防护中。 |
不适用 |
|
|
您可以通过 反恶意软件 > 超级检测 > 超级检测 设置启用该功能。 |
反恶意软件 |
需启用 高级威胁安全 和 超级检测 附加组件供公司内部使用。 |
不适用 |
|
|
您可以从 网络防护 > 常规 > 网络防护 设置中启用该功能。 |
网络防护 > 网络攻击防御 |
包含在核心防护中。 |
N/A |
|
|
您可以从 事件传感器 > 事件传感器 设置中启用该功能。 |
EDR传感器 |
需要 扩展检测与响应 附加组件,并且至少需要为公司启用一个传感器附加组件。 |
|
|
|
您可以通过 网络保护 > 常规 > 网络保护 设置启用该功能。 |
网络防护 > 内容控制 |
包含在核心防护中。 |
该功能提供额外特性,您可从 网络防护 > 内容控制 策略页面启用并配置。 |
|
|
您可从 设备控制 > 设备控制 设置中启用此功能。 |
设备控制 |
包含在核心防护中。 |
不适用 |
|
|
您可从 风险管理 > 风险管理 设置中启用此功能。 |
此功能需在终端安装BEST,但无需部署特定模块。 |
包含在核心防护中。 |
不适用 |
|
|
您可从 加密 > 常规 > 加密管理 页面。 |
加密 |
需要 全盘加密 插件在公司内启用。 |
不适用 |
|
|
您可以从 完整性监控 > 实时 > 启用实时监控 设置。 |
完整性监控 |
需要 完整性监控 插件在公司内启用。 |
需要创建 规则集 并添加到应用策略中。 |
|
|
此功能无需策略激活。 |
补丁管理 |
需要 补丁管理 需为公司启用该附加组件。 |
需从 策略 > 配置配置文件 页面创建维护窗口并分配给终端上安装的策略。 |
|
|
此功能无需激活策略。 |
Exchange保护 |
需 Exchange安全防护 附加组件为公司启用。 |
需要 用户组 为策略创建并配置。 |
|
|
沙盒分析器 - 控制台提交 |
此功能无需激活策略。 |
此功能独立于终端运行。 |
需 高级威胁安全 > 沙盒分析器 附加组件为公司启用。 |
不适用 |
|
沙盒分析器 - 终端提交 |
您可以从 沙盒分析器 > 端点传感器 部分,通过勾选 从托管端点自动提交样本 复选框。 |
此功能需要在终端安装BEST代理,但无需部署任何特定模块。 |
需要为该公司启用 高级威胁防护 > 沙盒分析器 附加功能。 |
不适用 |
|
此功能无需激活策略。 |
此功能独立于终端运行。 |
需要为该公司启用 邮件安全 附加功能。 |
不适用 |
|
|
GravityZone容器安全 |
此功能无需激活策略。 |
|
需要为该公司启用 容器防护 附加功能。 |
需要在应用于终端的策略中启用以下选项:
|
|
该功能无需策略激活。 |
该功能仅适用于使用 Bitdefender GravityZone MTD 代理的移动设备。 |
需要为该公司启用 移动安全 附加功能。 |
不适用 |
|
|
勒索软件缓解 |
您可以通过 反恶意软件 > 执行时扫描 > 勒索软件缓解 设置启用该功能。 |
|
包含在核心防护中。 |
|
|
网络流量扫描 |
您可通过 网络防护 > 网页防护 > 网络流量扫描 设置。 |
网络保护 > 网络流量扫描 |
包含在核心保护中。 |
需要在应用于终端的策略中启用以下选项: 网络保护 > 常规 > 拦截加密流量 & 扫描HTTPS . |
设置 GravityZone 托管公司的用户账户
根据托管公司的需求,您可能需要为其用户创建多个账户。每个账户可根据用户在公司中的角色获得不同功能和产品的访问权限。
更多信息请参考:
创建新用户
要在 控制中心 中添加用户账户,请按照以下步骤操作:
-
登录到 GravityZone 控制台使用合作伙伴账户登录。
-
前往 账户 页面(通过左侧菜单栏)。
-
点击页面左上角的 添加账户 按钮。
系统将显示配置窗口。
-
在 详细信息 部分填写以下内容:
-
邮箱 - 用户登录 Control Center 时使用的电子邮箱地址 .
注意
该邮箱地址必须唯一。
报告及重要安全通知将发送至该地址。当网络中检测到重大风险状况时,系统会自动发送邮件通知。
-
全名 - 账户持有人的完整姓名。
-
公司 - 选择用户所属的公司。
-
时区 - 选择账户时区,控制台将按所选时区显示时间信息。
-
语言 - 选择控制台显示语言。
-
-
在 登录安全 部分:
-
将密码最长使用期限设置为90天 - 启用或禁用密码过期策略。
启用后,账户关联的密码将在创建90天后过期。用户需在此期限前更改密码,否则将被锁定,无法访问 GravityZone .
-
5次无效密码登录尝试后锁定账户 - 启用后,若使用错误密码进行5次登录尝试,将锁定该账户。
-
-
在 角色权限 部分,配置以下设置:
提示
若为需自行生成报告的公司创建用户,请选择 安全分析师 角色,并确保从 公司 字段中选择该公司名称。
-
在 选择目标 下,选择用户可以访问的公司和网络组。您可以限制用户访问特定的网络区域或特定公司。
-
点击 创建 以添加用户。
注意
控制中心 会自动向用户发送一封包含登录详细信息和链接的电子邮件,用户可通过该链接为其账户创建密码。
账户创建后,您可以更改密码。在 账户 页面点击账户名称以编辑其密码。密码修改后,用户会立即收到电子邮件通知。
用户可以从 控制中心 访问 我的账户 页面更改其登录密码。
新账户将显示在用户账户列表中。
删除用户
重要提示
删除用户时,所有关联的策略、安装包、生成的API密钥及预定报告也将被删除。
删除用户前,请确认已备份或不再使用这些资源。
-
登录 GravityZone 控制台(需使用合作伙伴账户)。
-
通过左侧菜单进入 账户 页面。
-
使用主网格上方的 公司 筛选器选择用户所属公司。
-
勾选需删除的用户。
-
点击 删除 .